Proveedores de credenciales
Los proveedores de credenciales son las configuraciones de certificado en cuestión que se usarán en las distintas partes del sistema de XenMobile. Los proveedores de credenciales definen los orígenes, los parámetros y los ciclos de vida de los certificados. Esas operaciones ocurren cuando los certificados forman parte de configuraciones del dispositivo o se trata de operaciones independientes (es decir, enviadas tal cual al dispositivo).
La inscripción de dispositivos limita el ciclo de vida de los certificados. Es decir, XenMobile no emite certificados antes de la inscripción, aunque XenMobile puede emitir algunos certificados como parte de la inscripción. Además, los certificados que emita la infraestructura de clave pública interna en el contexto de una inscripción se revocan cuando la inscripción en cuestión se revoca. Una vez que la relación de administración haya finalizado, no queda ningún certificado válido.
Puede usar una configuración de proveedores de credenciales en varios sitios, con lo que una sola configuración puede gestionar una cantidad infinita de certificados al mismo tiempo. Entonces, la unidad radica en el recurso de la implementación y en la implementación. Por ejemplo: si el proveedor de credenciales P se implementa en el dispositivo D como parte de la configuración C, los parámetros de emisión de P determinan el certificado que se implementará en D. Del mismo modo, los parámetros de renovación previstos para D se aplicarán cuando se actualice C. Asimismo, los parámetros de revocación previstos para D también se aplicarán cuando C se elimine o cuando D se revoque.
De acuerdo con esas reglas, la configuración del proveedor de credenciales en XenMobile determina lo siguiente:
- El origen de los certificados.
- El método con que se obtienen los certificados: mediante la firma de un certificado nuevo o la obtención (recuperación) de un par de claves y un certificado existentes.
- Los parámetros para la emisión o la recuperación. Por ejemplo: los parámetros de la solicitud de firma de certificado (CSR), como el tamaño de la clave, el algoritmo de la clave y las extensiones del certificado.
- El modo en que los certificados se entregan al dispositivo.
- Las condiciones de revocación. Aunque todos los certificados se revocan en XenMobile cuando finaliza la relación de administración, la configuración puede especificar que la revocación ocurra antes. Por ejemplo, la configuración puede especificar revocar un certificado cuando se elimina la configuración asociada a él. Además, en algunas ocasiones, la revocación del certificado asociado en XenMobile se puede enviar a la infraestructura de clave pública (PKI) back-end. Es decir, la revocación de certificados en XenMobile puede causar la revocación de certificados en la PKI.
- Los parámetros de renovación. Los certificados que se obtienen mediante un proveedor de credenciales determinado se pueden renovar automáticamente cuando se acerque su fecha de caducidad. Además, independientemente de esas circunstancias, se pueden emitir notificaciones cuando se acerque esa fecha de caducidad.
La disponibilidad de las opciones de configuración depende principalmente del tipo de entidad PKI y del método de emisión que seleccione para el proveedor de credenciales.
Métodos de emisión de certificados
Puede obtener un certificado, el cual se conoce como método de emisión por firma.
Con este método, la emisión implica crear una nueva clave privada, crear una solicitud de firma de certificado y enviar esa solicitud a una entidad de certificación (CA) para su firma. XenMobile admite el método de firma tanto para las entidades de los Servicios de certificados de MS como para las entidades de CA discrecional.
Un proveedor de credenciales usa el método de emisión “sign”.
Entrega de certificados
En XenMobile, hay disponibles dos modos de entrega de certificados: centralizado y distribuido. El modo distribuido usa SCEP (Protocolo de inscripción de certificados simple) y solo está disponible en los casos en que el cliente admite el protocolo (solo para iOS). El modo distribuido es obligatorio en algunas situaciones.
Para que un proveedor de credenciales admita la entrega distribuida (mediante SCEP), se necesita un paso especial de configuración: se deben configurar certificados de una entidad de registro (RA). Los certificados de RA son necesarios porque, cuando se usa el protocolo SCEP, XenMobile actúa como un delegado (un registrador) para la entidad de certificación. XenMobile debe demostrar al cliente que tiene autoridad para actuar como tal. Esa autoridad se establece cargando en XenMobile los certificados mencionados anteriormente.
Se necesitan dos roles de certificados (aunque un solo certificado pueda satisfacer ambos requisitos): la firma de RA y el cifrado de RA. A continuación se presentan las restricciones de esos roles:
- El certificado de firma de RA debe tener una firma digital de uso de clave X.509.
- El certificado de cifrado de RA debe tener un cifrado de clave de uso de clave X.509.
Para configurar los certificados de RA del proveedor de credenciales, cárguelos en XenMobile y, a continuación, vincule su implementación a ellos en el proveedor de credenciales.
Se considera que un proveedor de credenciales admite la entrega distribuida solamente si tiene un certificado configurado para los roles de certificado. Puede configurar cada proveedor de credenciales para que prefiera el modo centralizado o el modo distribuido, o bien para que requiera el modo distribuido. El resultado real depende del contexto: si el contexto no admite el modo distribuido mientras que el proveedor de credenciales lo requiere, la implementación falla. Del mismo modo, si el contexto requiere el modo distribuido pero el proveedor de credenciales no lo admite, la implementación falla. En todos los demás casos, se respeta la preferencia asignada.
En la siguiente tabla se muestra la distribución de SCEP mediante XenMobile:
Contexto | Se admite SCEP | Se requiere SCEP |
---|---|---|
Servicio de perfil de iOS | Sí | Sí |
Inscripción y administración de dispositivos móviles iOS | Sí | No |
Perfiles de configuración de iOS | Sí | No |
Inscripción de SHTP | No | No |
Configuración de SHTP | No | No |
Inscripción de tabletas Windows | No | No |
Configuración de tabletas Windows | No, excepto la directiva Wi-Fi, disponible para Windows 10 y Windows 11. | No |
Revocación de certificados
Existen tres tipos de revocación.
- Revocación interna: La revocación interna afecta al estado del certificado que mantiene XenMobile. Este estado se tiene en cuenta cuando XenMobile evalúa un certificado que se le presenta o cuando debe proporcionar información del estado OCSP de un certificado. La configuración del proveedor de credenciales determina el impacto sobre el estado cuando se dan varias condiciones. Por ejemplo, el proveedor de credenciales puede especificar que los certificados obtenidos mediante él deban marcarse como revocados cuando se eliminen del dispositivo.
- Revocación propagada de forma externa: También conocida como revocación de XenMobile, este tipo de revocación se aplica a certificados obtenidos de una infraestructura de clave pública externa. Este certificado se revoca en la infraestructura de clave pública cuando XenMobile lo revoca internamente si se cumplen las condiciones definidas en la configuración del proveedor de credenciales.
- Revocación inducida externamente: También conocida como infraestructura de clave pública de revocación, este tipo de revocación también se aplica solo a certificados obtenidos de una infraestructura de clave pública externa. Siempre que XenMobile evalúa el estado de un certificado concreto, XenMobile consulta ese estado en la infraestructura de clave pública. Si el certificado está revocado, XenMobile lo revoca internamente. Este mecanismo utiliza el protocolo OCSP.
Estos tres tipos no son exclusivos, sino que se aplican juntos. Una revocación externa u otro motivo pueden causar una revocación interna. Una revocación interna afecta potencialmente a una revocación externa.
Renovación de certificados
La renovación de un certificado es la combinación de una revocación del certificado existente y una emisión de otro certificado.
XenMobile intenta obtener el nuevo certificado antes de revocar el anterior, a fin de evitar la interrupción del servicio si la emisión falla. Para la entrega distribuida (compatible con SCEP), la revocación también ocurre solamente después de que el certificado se haya instalado correctamente en el dispositivo. De lo contrario, la revocación ocurre antes de que se envíe el nuevo certificado al dispositivo. Esa revocación no depende de la instalación del certificado.
La configuración de la revocación requiere que especifique una duración (en días). Cuando el dispositivo se conecta, el servidor comprueba si la fecha NotAfter
del certificado es posterior a la fecha actual, menos el tiempo especificado. Si el certificado cumple esa condición, XenMobile intenta renovar el certificado.
Crear un proveedor de credenciales
La configuración de un proveedor de credenciales varía principalmente en la entidad de emisión y el método de emisión elegidos para el proveedor de credenciales. Puede distinguir entre los proveedores de credenciales que usan una entidad interna o una entidad externa:
-
Una entidad discrecional, interna en XenMobile, es una entidad interna. El método de emisión para una entidad discrecional es siempre “sign”. Este método “sign” significa que, con cada operación de emisión, XenMobile firma un nuevo par de claves con el certificado de CA seleccionado para la entidad. El método de distribución seleccionado determina si el par de claves se genera en el dispositivo o en el servidor.
-
Una entidad externa, que forma parte de la infraestructura corporativa, incluye la CA de Microsoft.
-
En la consola Web de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha de la consola. A continuación, haga clic en Parámetros > Proveedores de credenciales.
-
En la página Proveedores de credenciales, haga clic en Agregar.
Aparecerá la página Credential Providers: General Information.
-
En la página Credential Providers: General Information, lleve a cabo lo siguiente:
- Nombre: Escriba un nombre exclusivo para la configuración del nuevo proveedor. Este nombre se usará posteriormente para identificar la configuración en otras partes de la consola de XenMobile.
- Descripción: Describa el proveedor de credenciales. Aunque este campo sea opcional, una descripción puede resultar útil cuando necesite datos concretos acerca del proveedor de credenciales.
- Entidad de emisión: Haga clic en la entidad emisora de certificados.
- Método de emisión: Haga clic en Sign o en Fetch para designar el método que usará el sistema para obtener certificados de la entidad configurada. Para la autenticación con certificado del cliente, use Sign.
-
Si la lista Plantilla está disponible, seleccione la plantilla que agregó en el apartado de entidad PKI para el proveedor de credenciales.
Estas plantillas pasan a estar disponibles cuando se agregan entidades de Servicios de certificado de Microsoft en Parámetros > Entidades PKI.
-
Haga clic en Siguiente.
Aparecerá la página Credential Providers: Certificate Signing Request.
-
En la página Proveedores de credenciales: Solicitud de firma de certificado, defina lo siguiente según la configuración de su certificado:
-
Algoritmo de clave: Seleccione el algoritmo de clave para el nuevo par de claves. Los valores disponibles son: RSA, DSA y ECDSA.
-
Tamaño de clave: Escriba el tamaño, en bits, del par de claves. Este campo es obligatorio.
Los valores permitidos dependen del tipo de clave. Por ejemplo, el tamaño máximo para las claves DSA es 1024 bits. Para evitar falsos negativos, los cuales dependen del hardware y software subyacentes, XenMobile no aplica tamaños de clave. Debe probar siempre las configuraciones del proveedor de credenciales en un entorno de prueba antes de activarlas en producción.
-
Algoritmo de firma: Haga clic en un valor para el nuevo certificado. Los valores dependen del algoritmo de clave.
-
Nombre del sujeto: Campo obligatorio. Escriba el nombre distintivo (DN) del nuevo sujeto del certificado. Por ejemplo:
CN=${user.username}, OU=${user.department}, O=${user.companyname},C=${user.c}\endquotation
Por ejemplo, para la autenticación con certificados de cliente, use los parámetros siguientes:
- Algoritmo de clave: RSA
- Tamaño de clave: 2048
- Algoritmo de firma: SHA256withRSA
-
Nombre del sujeto:
cn=$user.username
-
Para agregar una nueva entrada a la tabla Nombres alternativos del sujeto, haga clic en Agregar. Seleccione el tipo de nombre alternativo y, a continuación, escriba un valor en la segunda columna.
Para la autenticación con certificados de cliente, especifique:
- Tipo: Nombre principal del usuario.
-
Valor:
$user.userprincipalname
Al igual que para Nombre del sujeto, puede usar las macros de XenMobile en el campo Valor.
-
-
Haga clic en Siguiente.
Aparecerá la página Credential Providers: Distribution.
-
En la página Credential Providers: Distribution, lleve a cabo lo siguiente:
- En la lista Certificados de CA emisora, haga clic en el certificado de CA ofrecido. Dado que el proveedor de credenciales usa una entidad de certificación discrecional, el certificado de CA de ese proveedor siempre será el certificado de CA configurado en la propia entidad. El certificado de CA se presenta aquí para mantener la coherencia con las configuraciones que usan entidades externas.
- En Seleccionar modo de distribución, haga clic en una de las siguientes maneras de generar y distribuir claves:
- Preferir modo centralizado: Generación de clave en el lado del servidor: Citrix recomienda esta opción centralizada. Admite todas las plataformas compatibles de XenMobile y es necesaria cuando se usa la autenticación de Citrix Gateway. Las claves privadas se generan y se almacenan en el servidor para, luego, distribuirse a los dispositivos de usuario.
- Preferir modo distribuido: Generación de clave en el lado del dispositivo: Las claves privadas se generan y se almacenan en los dispositivos de usuario. Este modo de distribución utiliza SCEP y requiere un certificado de cifrado de RA con keyUsage keyEncryption, así como un certificado de firma de RA con KeyUsage digitalSignature. Se puede usar el mismo certificado para el cifrado y la firma.
- Solo distribuido: Generación de clave en el lado del dispositivo: Esta opción funciona de la misma forma que “Preferir modo distribuido: Generación de clave en el lado del dispositivo”, salvo que no se permite ninguna otra opción si se produce un error en la generación de claves por parte del dispositivo o esta no está disponible.
Si selecciona Preferir modo distribuido: Generación de clave en el lado del dispositivo o Solo distribuido: Generación de clave en el lado del dispositivo, haga clic en el certificado de firma de RA y en el certificado de cifrado de RA. Se puede usar el mismo certificado tanto para el cifrado como para la firma. Aparecerán campos nuevos para esos certificados.
-
Haga clic en Siguiente.
Aparecerá la página Credential Providers: Revocation XenMobile. En esta página, puede configurar las condiciones que se deben dar para que XenMobile marque internamente como revocados los certificados que se emitan con esta configuración de proveedor.
-
En la página Credential Providers: Revocation XenMobile, lleve a cabo lo siguiente:
- En Revocar certificados emitidos, seleccione una de las opciones que indican cuándo revocar los certificados.
-
Si quiere que XenMobile envíe una notificación cuando el certificado se revoque, establezca el valor de Enviar notificación en Sí y seleccione una plantilla de notificaciones.
- Si quiere revocar el certificado presente en la infraestructura de clave pública cuando este se haya revocado en XenMobile, establezca Revocar certificado en PKI en Sí y, en la lista Entidad, haga clic en una plantilla. La lista “Entidad” muestra todas las entidades de infraestructura disponibles con capacidades de revocación. Cuando el certificado se revoque XenMobile, se enviará una llamada de revocación a la infraestructura de clave pública seleccionada de la lista “Entidad”.
-
Haga clic en Siguiente.
Aparecerá la página Credential Providers: Revocation PKI. En esta página, puede identificar las acciones que se deben realizar en la infraestructura de clave pública si se revoca el certificado. También tiene la opción de crear un mensaje de notificación.
-
En la página Credential Providers: Revocation PKI, lleve a cabo lo siguiente si quiere revocar certificados procedentes de la infraestructura de clave pública:
- Active el parámetro Habilitar comprobaciones de revocación externas. Aparecerán campos adicionales relacionados con la infraestructura de clave pública de revocación.
-
En la lista Certificado de CA de respondedor OCSP, haga clic en el nombre distintivo (DN) del sujeto del certificado.
Puede usar macros de XenMobile para los valores de los campos del DN. Por ejemplo:
CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation
-
En la lista Cuando se revoque el certificado, haga clic en una de las siguientes acciones a realizar en la entidad de infraestructura PKI cuando se revoque el certificado:
- No hacer nada.
- Renovar el certificado.
- Revocar y borrar el dispositivo.
-
Si quiere que XenMobile envíe una notificación cuando el certificado se revoque, establezca el valor de Enviar notificación en Sí.
Puede elegir entre dos opciones de notificación:
- Si selecciona Seleccionar plantilla de notificaciones, puede seleccionar un mensaje de notificación previamente escrito que puede personalizar. Estas plantillas se encuentran en la lista “Plantillas de notificaciones”.
- Si elige Introducir detalles de notificación, puede escribir su propio mensaje de notificación. Además de facilitar la dirección de correo electrónico del destinatario y el mensaje, puede configurar la frecuencia con que se envía la notificación.
-
Haga clic en Siguiente.
Aparecerá la página Credential Providers: Renewal. En esta página, puede determinar que XenMobile opere de la siguiente manera:
- Renovar el certificado. Si lo quiere, puede enviar una notificación para la renovación y excluir los certificados ya caducados de la operación.
- Emitir una notificación para aquellos certificados cuya fecha de caducidad se acerca (notificación antes de renovación).
-
En la página Credential Providers: Renewal, lleve a cabo lo siguiente si quiere renovar certificados cuando estos caduquen:
Active la opción Renovar certificados cuando caduquen. Aparecen más campos.
- En el campo Renovar el certificado cuando queden, escriba la antelación (la cantidad de días anteriores a la fecha de caducidad) con que debe realizarse la renovación.
- También puede seleccionar No renovar certificados que ya han caducado. En este caso, “ya caducado” significa que la fecha
NotAfter
del certificado ha pasado, no que ha sido revocado. XenMobile no renueva los certificados después de que hayan sido revocados internamente.
Si quiere que XenMobile envíe una notificación cuando el certificado se haya renovado, establezca Enviar notificación en Sí. Si quiere que XenMobile envíe una notificación cuando la fecha de caducidad se acerque, establezca Notificar cuando se acerque la fecha de caducidad en Sí. Para cualquiera de esas opciones, puede elegir entre dos opciones de notificación:
- Seleccionar plantilla de notificaciones: Seleccione un mensaje de notificación previamente escrito que puede personalizar. Estas plantillas se encuentran en la lista “Plantillas de notificaciones”.
- Introducir detalles de notificación: Escriba su propio mensaje de notificación. Proporcione la dirección de correo electrónico del destinatario, un mensaje y una frecuencia para enviar la notificación.
En el campo Notificar cuando al certificado le queden, escriba la antelación (la cantidad de días anteriores a la fecha de caducidad) con que debe enviarse la notificación.
-
Haga clic en Guardar.
El proveedor de credenciales aparecerá en la tabla “Proveedores de credenciales”.